> Tech > 3ième : Restreindre les ouvertures de session avec Cconnect

3ième : Restreindre les ouvertures de session avec Cconnect

Tech - Par iTPro - Publié le 24 juin 2010
email

Les administrateurs Novell Netware regrettent souvent que Windows 2000 et NT n'aient ni l'un ni l'autre de restriction d'ouverture de session simultanée pour empêcher un utilisateur de se connecter à  plusieurs postes de travail simultanément. Dans NT, vous pouvez limiter un utilisateur à  une station de travail spécifique en définissant

une restriction dans les propriétés du compte d’utilisateur dans le
Gestionnaire des utilisateurs pour les domaines, mais ceci limite inutilement
l’utilisateur à  un poste de travail spécifique au lieu de limiter le nombre d’ouvertures
de session simultanées.

L’utilitaire Cconnect, du kit de ressources, permet de limiter l’ouverture de
sessions concurrentes dans les réseaux Windows 2000 et NT. Il contient deux composants
: Cconnect Administrator, qui permet d’afficher les ouvertures de session en cours
dans tout un domaine et déconnecte de force les utilisateurs, si nécessaire, et
Cconnect Client, qui tourne sur chaque poste de travail et oblige à  restreindre
les ouvertures de session simultanées. Cconnect Client s’installe sur chaque poste
de travail. Lorsqu’un utilisateur se connecte à  une station de travail, Cconnect
compte le nombre de sessions actives simultanément pour cet utilisateur dans une
base de données SQL Server, puis compare ce nombre avec le nombre maximum permis
pour cet utilisateur. Si ce dernier a dépassé la limite, Cconnect le déconnecte
immédiatement.

L’utilitaire Cconnect, du kit de ressources, permet de limiter l’ouverture
de sessions concurrentes dans les réseaux Windows 2000 et NT

Pour utiliser Cconnect, il faut d’abord installer une nouvelle base de données
et un nouveau compte d’utilisateur sur une machine SQL Server. Puis pour une gestion
centralisée de toutes les instances de Cconnect Client, il faut importer certaines
nouvelles Stratégies de groupe Windows 2000 dans les stratégies système de Windows
NT. Les stratégies, qui résident dans le fichier cconnect.adm, définissent les
valeurs du registre dans la sous-clé HKEY_CURRENT_USER\Software\Microsoft\Cconnect.
Celles-ci désignent Cconnect Client à  la base bonne de données SQL Server et définissent
la limite du nombre d’ouvertures de session simultanées de l’utilisateur. (La
Figure 7 montre ces stratégies importées dans l’éditeur de stratégie systèmes.
Une fois le fichier cconnect.adm importé, les données des stratégies et des connexions
SQL Server de Cconnect peuvent être configurées. Puis, pour installer Cconnect
Client sur chaque poste de travail, exécutez setup.exe à  partir du répertoire
\apps\cconnect\client. Pour installer Cconenct Administrator, exécutez setup.exe
à  partir du répertoire \apps\cconnect\administrator. La première fois que Cconnect
Client ou Cconnect Administrator s’exécute dans votre réseau, il crée les tables
nécessaires dans la base de données SQL Server que vous avez créée.

Si la seule fonction Cconnect que vous demandez est celle des restrictions d’ouvertures
de sessions simultanées, et si vous exécutez Windows 2000 sur le bureau aussi
bien que dans le contrôleur de domaine, vous n’avez pas besoin d’installer le
client Cconnect. En revanche, vous pouvez modifier les scripts d’ouverture et
de fermeture de sessions pour appeler respectivement cconnect.vbs et cclogoff.vbs.
Si vous définissez vos scripts d’ouverture de session dans Stratégie de groupe,
Configuration des utilisateurs, Paramètres Windows, Scripts, vous pouvez déployer
Cconnect dans tout votre domaine sans jamais toucher à  une station de travail.
Mais attention, Cconnect est sujet à  quelques mise en garde. Etant donné que la
base de données SQL Server ne supprime les enregistrements des ouvertures de session
actifs que lorsqu’un utilisateur se déconnecte de manière normale, Cconnect pourrait
refuser à  tort une ouverture de session. Par exemple, la base de données ne supprime
pas l’enregistrement de l’ouverture de session pendant une panne d’alimentation.
Si un utilisateur n’a droit qu’à  une ouverture de session à  la fois et utilise
la même station de travail pour sa prochaine session, la base de données supprime
l’enregistrement d’ouverture de session orphelin et le problème disparaît. Mais
s’il essaie d’ouvrir une session sur une station de travail différente, Cconnect
suppose que l’utilisateur dépasse la limite d’ouverture de session. Pour corriger
ce problème, vous devez utiliser Cconnect Administrator pour supprimer manuellement
l’ancien enregistrement d’ouverture de session.

Un autre problème résulte de ce que les utilisateurs judicieux peuvent battre
Cconnect. Cconnect n’utilise SQL Server que pour stocker des données d’ouverture
de session en cours. Pour les autres configurations et paramètres de stratégie,
l’utilitaire utilise la sous-clé du registre HKEY_CURRENT_USER\Software\Microsoft\Cconnect.
Ainsi, les utilisateurs comprenant le registre peut désactiver Cconnect en désignant
simplement l’outil à  une machine SQL Server bidon ou en augmentant leur limite
d’ouverture de sessions simultanées. Pour atténuer le risque, vous pouvez utiliser
les Stratégies de groupe sous Windows 2000 ou l’éditeur de stratégies systèmes
sous NT, pour désactiver les éditeurs de registre. Mais les utilisateurs qui savent
comment utiliser des scripts pour accéder au registre peuvent circonvenir cette
restriction. Pour limiter les utilisateurs à  l’accès en Lecture à  la clé du registre
Cconnect, essayez de mettre en oeuvre un script qui s’exécute à  l’ouverture de
session.

De plus, le client Cconnect stocke des données sur les utilisateurs et les mots
de passe SQL Server en texte clair dans le registre. Si vous suivez les instructions
d’installation du compte d’utilisateur SQL Server pour Cconnect, le compte aura
une autorité SQL Server semblable au compte d’administrateur intégré de SQL Server
(c’est-à -dire sa). Le nom d’utilisateur et le mot de passe du compte se trouvent
par conséquent en texte clair sur le registre de chaque station de travail. Pour
réduire le risque des utilisateurs malveillants essayant d’utiliser ce compte
pour attaquer d’autres bases de données sur la même machine SQL Server, créez
d’abord la base de données Cconnect et le compte d’utilisateur sur la machine
SQL Server, selon la description de Cconnect.doc. Puis exécutez le client Cconnect
pour la première fois, afin de garnir la base de données SQL Server que vous venez
de créer. Enfin, modifiez l’autorité du compte d’utilisateur Cconnect pour le
restreindre simplement à  la base de données Cconnect.

Pour finir, vous devez connaître les exigences spéciales requises, lorsque vous
utilisez Cconnect dans un réseau de stations de travail NT. Chaque station de
travail a besoin du Service Pack 4 (SP4) ou ultérieur avec WSH (Windows Script
Host), WBEM (Web-Based Enterprise Management) et MDAC (Microsoft Data Access Component)
2.0 ou plus. Tous ces composants sont disponibles par téléchargement à  l’adresse
http://www.microsoft.com/ntserver/all/downloads.asp. Malheureusement, on ne peut
pas utiliser Cconnect pour les utilisateurs ayant des systèmes Windows 9x.

Téléchargez gratuitement cette ressource

Les 7 étapes d’un projet de dématérialisation RH

Les 7 étapes d’un projet de dématérialisation RH

Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.

Tech - Par iTPro - Publié le 24 juin 2010